한 노드에서 다른 노드로 인증서를 수동으로 복사할 필요 없이 다중 서버 설정을 위해 certbot 및 LetsEncrypt 인증서를 사용할 수 있는 방법이 있습니까?
내 도메인 이름은 example.com미국에서는 192.0.2.1, 아시아에서는 192.0.2.2로 확인됩니다.
미국 서버에서 certbot을 실행했는데 인증서가 성공적으로 생성되었습니다. certbot은 도메인을 192.0.2.1로만 확인할 수 있기 때문에 아시아 서버에서 동일한 명령을 실행할 수 없습니다.
그래서 아시아 서버의 인증서를 설치하기 위해서는 192.0.2.1에서 192.0.2.2로 복사를 해야 했습니다.
예, 복사 프로세스를 스크립트로 작성할 수 있지만 제 생각에는 별로 좋은 생각이 아닌 것 같습니다. 다른 방법이 있나요?
답변1
마지막으로 솔루션을 사용했습니다.여기에 설명.
간단히 말해서:
- 인증서 생성을 위해 단일 노드 사용
- nginx 프록시를 사용하여 1단계의 모든 프런트엔드에서 노드로 /.well-known/을 전달합니다.
- 모든 프런트 엔드 서버에 스크립트 인증서 복사
답변2
문제는 검증이 어디에서 실행될지 알 수 없다는 것입니다.
두 가지 일반적인 솔루션이 있습니다.
- 서버 간에 인증서 + 키를 복사합니다.
- 일시적으로 도메인을 한 위치로 확인하고 그곳에서 인증서를 발급한 다음 다른 위치로 확인하고 그곳에서 인증서를 발급하고 마지막으로 다시 분할 지평선으로 전환합니다. 인증서를 갱신하려는 경우에도 이 작업을 반복해야 합니다.
해결 방법 2는 인증서 + 키를 복사하는 것보다 나쁩니다.
LetsEncrypt 이전에 이 문제를 어떻게 해결할 것인지 고려하십시오.
- 어딘가(관리 워크스테이션 또는 서버)에서 키와 CSR을 생성합니다.
- CA에 CSR 제출
- CA로부터 인증서 받기
- 키와 인증서를 두 서버 모두에 푸시합니다.
이러한 관점에서 볼 때 한 서버에서 다른 서버로 키/인증서를 푸시하는 것은 그리 나쁘지 않습니다.
이는 이전에 소개된 바 있습니다: https://community.letsencrypt.org/t/will-lets-encrypt-work-for-me-multiple-servers-serving-one-domain/6830/7